如何在Windows 11上启用“管理员保护”安全功能？

为了增强系统安全性，Windows 11引入了“管理员保护”功能，它通过最小权限原则（PoLP）来限制管理员账户的权限滥用，确保系统的安全性。以下是关于如何启用和配置这一功能的详细指南。

什么是管理员保护？

管理员保护是一项旨在提升具有管理员权限账户安全性的功能。通常情况下，属于“管理员”组的用户能够执行各种系统级别的操作，如修改设置、安装软件等。然而，这些权限也带来了潜在的安全风险。“管理员保护”通过减少误操作的机会，并阻止恶意软件进行未经授权的更改，从而降低了这些风险。

管理员保护的工作原理

该功能基于最小权限原则，默认将管理员账户视为标准用户，只有在明确授权的情况下，才允许执行需要提升权限的操作。这通常涉及到使用Windows Hello身份验证或简单地同意一个提示（无需额外的身份验证）。一旦任务被批准，Windows会创建一个临时的隔离管理员令牌，该令牌仅在任务期间有效，并在任务完成后立即销毁。

此外，不同的颜色方案用于提示界面，帮助用户理解所批准操作可能带来的风险。

管理员保护 vs. 用户账户控制（UAC）

尽管两者看起来相似，但管理员保护与用户账户控制（UAC）有所不同。UAC主要用于通知用户有关系统范围内的更改，而管理员保护则专注于最小化管理员权限的滥用，为管理员账户提供更强的安全保障。

启用管理员保护的要求

目前，“管理员保护”仍处于开发阶段，因此你需要加入Windows预览体验计划的Canary频道，并安装Windows 11 build 27774或更高版本才能体验此功能。

接下来，我们将介绍两种启用管理员保护的方法：通过Windows安全中心和组策略编辑器。

方法一：通过Windows安全中心启用管理员保护

对于Windows 11家庭版和专业版用户，可以按照以下步骤操作：

1. 打开开始菜单。
2. 搜索并选择Windows安全中心以打开应用。
3. 转到账户保护部分。
4. 在页面底部找到并点击“管理员保护设置”选项。
5. 开启“管理员保护”开关。
6. 重启计算机以使更改生效。

方法二：通过组策略启用管理员保护

适用于Windows 11专业版或企业版用户：

1. 打开开始菜单。
2. 搜索并启动组策略编辑器（gpedit.msc）。
3. 导航至：Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
4. 右键点击“用户账户控制: 配置管理员批准模式类型”策略，选择属性。
5. 选择“带有管理员保护的管理员批准模式”选项。
6. 点击应用后，再点击确定。
7. 对于“用户账户控制: 管理员保护下管理员提升提示的行为”策略，重复步骤4。
8. 根据需要选择提示体验（例如，“在安全桌面上提示输入凭据”或“在安全桌面上提示同意”）。
9. 点击应用和确定。
10. 最后，重启计算机以完成设置。

完成上述步骤后，你的系统将会应用新的管理员保护策略，确保每次需要提升权限时都经过适当的用户确认。这样不仅提高了系统的安全性，还减少了未经授权的系统更改风险。